Background Image
Table of Contents Table of Contents
Previous Page  49 / 72 Next Page
Information
Show Menu
Previous Page 49 / 72 Next Page
Page Background

Intérêt certain, intérêt croissant, mais les processus de décision

restent longs : entre 12 et 18 mois «

ce qui est assez courant pour un

marché de First Time buyer

», précise Didier Seigneur. Les délais de

décisions tendent cependant à se réduire du fait de tarifications plus

attractives. «

Les niveaux de prix sont très compétitifs. Nous avons l’im-

pression qu’aujourd’hui l’assurance cyber est un bonus apporté par les

assureurs à leurs clients grands comptes

», note Françoise Mari, rappe-

lant le souhait de QBE de se développer, pour ce type de produit, sur le

segment encore peu exploité des ETI.

PERTES D’EXPLOITATION ET ATTEINTE AUX DONNÉES :

LES PRINCIPALES MOTIVATIONS

Quant aux motivations de souscription des polices d’assurance pour les

Cyber Risks, les avis convergent. Si la perspective de la mise en place

de la directive européenne sur les données personnelles (qui obligera

les entreprises à notifier l’incident à chacun de leur client) peut être un

facteur de décision, il n’est plus en revanche l’élément moteur.

D’autres raisons sont plus souvent invoquées. «

Nous voyons deux

éléments déclencheurs : les atteintes aux données, celles de l’entreprise

et celles qui lui sont confiées, et les atteintes aux systèmes d’infor-

mation pour les dommages causés à l’entreprise et au tiers

», précise

Jimaan Sané. Pour Didier Seigneur, la principale raison qui pousse les

entreprises européennes à s’assurer, est « 

la partie dommage et pertes

d’exploitation

». Sergio Pierro, Souscripteur Lignes Financières chez

XL Catling, voit chez ses clients «

des demandes très pointues sur la

garantie Perte d’exploitation directe ou indirecte (notamment liées aux

prestataires) ou des pénalités contractuelles. Les niveaux de franchise et

de prime sont aussi bien évidement déterminants. Les premiers achats

de couverture cyber sont souvent peu suffisants en termes de limite de

garantie, mais sont davantage déterminés par un budget cible alloué

pour ces risques-là. Pour notre part, nous indemnisons également les

assurés pour les frais de mitigation afin de limiter l’impact d’un sinistre

potentiel dans le cas où leur responsabilité pourrait être engagée

».

DOUBLONS, EXCLUSION, CONFIDENTIALITÉ :

LES FREINS À LA CONTRACTUALISATION

La crainte du doublon d’assurance subsiste dès que l’on évoque le

Cyber Risk notamment avec la couverture Responsabilité Civile. «

Cela

peut arriver puisqu’en France la RC est “tout risque sauf” mais, atten-

tion, l’assureur peut être amené à formuler une exclusion ou à augmenter

fortement la prime après un premier incident

», prévient Didier Seigneur.

«

La RC intervient uniquement suite à la réclamation d’un tiers alors que

la police cyber, notamment en prise en charge de la gestion de crise,

intervient bien avant. Et quoi qu’il en soit, les polices classiques de RC ne

sont pas dimensionnées pour traiter le Cyber Risk »,

insiste Jimaan Sané.

Pour Sergio Pierro,

« il faut être prudent quant au contenu des polices

RC qui excluent souvent les réclamations relatives aux virus ou autres

« cyber-phénomènes » et qui ne couvrent pas les garanties dommages

que nous donnons comme l’extorsion ou les frais de notifications

».

Autre frein à la contractualisation, l’obligation de révéler des informa-

tions confidentielles ou de soumettre leur système d’information à des

tests d’intrusion ou de vulnérabilité.

Sur ce plan, les assureurs se veulent rassurants. «

La sécurité informatique

au sein d’une entreprise joue un rôle clé. La culture de gestion des risques

aussi. En effet, notre recul en la matière (près de 3 000 incidents gérés par

nos équipes à ce jour) nous a montré qu’un nombre important d’incidents

est également lié à des problèmes de gouvernance

», précise Jimaan Sané.

Chez d’autres comme Axa Corporate Solutions, un audit peut être

proposé au client. «

Ce n’est pas lié à la souscription d’une assurance. Cela

peut néanmoins être une aide à la décision

», explique Irène Plichon.

OSER FAIRE JOUER LES GARANTIES

Même si elles sont assurées, certaines entreprises ne déclarent pas

leurs éventuels sinistres « cyber » en raison de craintes sur leur répu-

tation. Néanmoins, cela change et les assureurs constatent plus de

prises en charge. «

Dans 30 à 40 % des cas, il s’agit de cyber extorsion

»,

précise-t-on chez AIG qui dans ce cas s’appuie sur des consultants

experts en kidnapping et en négociation.

Néanmoins, peut-on vraiment chiffrer une attaque d’envergure ?

Difficile, reconnaissent les assureurs. Face à certaines actions chif-

frables (les frais de notification sont évalués à environ 100 euros par

client), d’autres comme l’atteinte à la réputation sont moins évidentes

à établir. «

Lors des grosses cyber-attaques, le préjudice subi par l’en-

treprise victime peut prendre tellement de formes différentes qu’il n’est

quasiment pas chiffrable. En termes de communication, il va y avoir

un gros travail à faire vis-à-vis de la direction et des clients

», constate

Astrid-Marie Pirson. 

À consulter

Cyber risques : outil d'aide

à l'analyse et au traitement

assurantiel

- AMRAE/CESIN

LA POSITION DE L’AMRAE

l’analyse de François Beaume

Ces grilles montrent que le marché est en

croissance avec une augmentation des

capacités et une amélioration des couver-

tures proposées. L’offre semble globale-

ment se rapprocher des attentes des organisations. Néanmoins

les Risk Managers ou les directeurs des assurances devront rentrer

dans le détail pour voir ce qu’elles couvrent précisément. Ils ne

pourront faire l’économie d’une analyse en amont du risque pour

qualifier les besoins de couverture.

Maintenant que le marché se structure, les grandes entreprises

peuvent espérer obtenir plus facilement des garanties sur-mesure

à même de permettre une intégration optimisée des polices Cyber

dans les dispositifs existants.

Les ETI devront également profiter du développement du marché

pour avoir des produits attractifs en termes de prix et de couverture.

Reste un point essentiel : comment l’assureur peut-il comprendre

et analyser l’exposition ? Il va falloir la qualifier et la quantifier

avant la souscription. C’est aujourd’hui une question de métho-

dologie d’analyse de risque que doit résoudre le futur assuré bien

en amont de la souscription.

Commission

Systèmes d’Information

CYBER RISQUES

Outil d’aide à l’analyse et au

traitement assurantiel

Enpartenariat avec le

Cahiers Techniques 2015

ATOUT RISK MANAGER, LA REVUE DE L’AMRAE

I N°7 I

DÉCEMBRE 2015

49

PRODUITS ET SERVICES

1 44 45 46 47 48 49 50 51 52 53 54 55 72  FlippingBook